Demilitarizovaná zóna
Druhým typickým provedením firewallu je takové řešení, pro které se vžilo poněkud zvláštní označení "demilitarizovaná zóna". Lze jej skutečně připodobnit k nárazníkovému pásmu mezi dvěma válčícími stranami, které zachovává přísnou neutralitu, a díky tomu je přístupné z obou stran. Důležité ale je, že skrze demilitarizovanou zónu nemohou přímo pronikat z žádného z obou táborů do druhého žádní záškodníci. Místo toho je demilitarizovaná zóna obydlena nestrannými pozorovateli, kteří zprostředkovávají pouze takový provoz mezi oběma "znesvářenými" světy, jaký si oni sami přejí.
Jistě již tušíte, co takováto demilitarizovaná zóna obnáší v praxi: nemožnost průniku záškodníků odpovídá tomu, že skrze demilitarizovanou nemohou prostupovat žádné síťové pakety (tj. platí zde zákaz IP forwardingu). Nezávislým pozorovatelům uvnitř demilitarizované zóny pak odpovídají jednotlivé proxy brány, specializované na konkrétní služby a zprostředkovávající komunikaci mezi propojenými sítěmi.
 |
Pokud jde o možnou realizaci takto fungující demilitarizované zóny, pak zde existuje více možností. Principiálně nejjednodušší je řešení se dvěma směrovači (viz obrázek …), mezi kterými vzniká příslušná demilitarizovaná zóna jako samostatná síť. důležité zde je to, aby směrovače byly nakonfigurovány takovým způsobem, aby umožňovaly přenos síťových paketů začínajících či končících v demilitarizované zóně, a naopak zakazovaly veškerý přenos síťových paketů skrz demilitarizovanou zónu. K tomu stačí i naprosto minimální inteligence, kterou mají úplně všechny směrovače.
Výhodou právě popsaného řešení se dvěma směrovači je přeci jen větší bezpečnost (případný narušitel musí překonávat dva omezující uzly). Nevýhodou je ale nutnost použít směrovače dva. Existuje však i možnost vystačit s jediným směrovačem, pokud má alespoň tří síťová rozhraní - pak jej stačí zapojit podle obrázku …
 |
Mezi oběma základními variantami firewallu ("dvounohého" a na principu demilitarizované zóny) samozřejmě existuje celá řada přechodových variant. Například demilitarizovaná zóna je v tradičním pojetí skutečně samostatnou sítí, do které může být umístěno více různých uzlů, plnících roli proxy bran i další role - například roli WWW serveru, který využívá skutečnosti že je "vidět" (je dostupný) jak současně uživatele obou propojených sítí, tedy i z chráněné privátní sítě i z veřejného Internetu. V praxi však může být demilitarizovaná zóna redukována z celé sítě na jeden jediný "dvounohý" počítač, který realizuje všechny potřebné činnosti typické pro demilitarizovanou zónu, viz obrázek
 |
Další možností je eliminování jednoho ze dvou směrovačů (na straně chráněné privátní sítě), a přímé připojení uzlů vnitřní sítě na uzel plnící roli demilitarizované zóny. Ještě další možností je pak eliminace zbývajícího směrovače, což je vlastně již výše uvažovanou variantou "dvounohého" firewallu. Dnes je tato varianta typická zejména pro připojování menších až velmi malých sítí, včetně sítí domácích, a její velkou předností je že nahrazuje potřebu samostatného směrovače, který by jinak byl zapotřebí pro připojení k Internetu.